Esta semana en seguridad: Vulnerabilidades de Unicode, Truecrypt y NPM

Unicode, la maravillosa extensión a ASCII que nos da gemas como «», «», y «», ha tenido algunas ramificaciones de seguridad inesperadas. Los problemas más comunes con Unicode son problemas de seguridad visual, como la confusión de caracteres entre letras. Por ejemplo, la «M» inglesa (U+004D) es indistinguible de la «М» cirílica. (U+041C). ¿Puedes notar la diferencia entre IBM.com y IBМ.com?

Este bicho, descubierto por [John Gracey] pone de cabeza el problema común. Conocida como colisión de mapeo de casos, es la historia de diferentes personajes Unicode que se mapean con el mismo equivalente en mayúsculas o minúsculas.

$0027ß$0027.toLowerCase() === $0027SS$0027.toLowerCase() // true

// Nótese el punto sin puntos turco i

$0027John@Gıthub.com$0027.toUpperCase() === $0027John@Github.com$0027.toUpperCase()

GitHub almacena todas las direcciones de correo electrónico en su forma minúscula. Cuando un usuario envía un restablecimiento de contraseña, la lógica de GitHub funciona así: Toma la dirección de correo electrónico que solicitó el restablecimiento de la contraseña, conviértela a minúsculas y busca la cuenta que utiliza la dirección de correo electrónico convertida. Esto no sería un problema por sí mismo, pero el restablecimiento se envía a la dirección de correo electrónico que se solicitó, no a la que está en el archivo. En retrospectiva, esto es un fallo obvio, pero sin la presencia de Unicode y la posibilidad de una colisión del mapeo de casos, sería una práctica perfectamente segura.

Esta falla parece haber sido arreglada hace bastante tiempo, pero sólo fue revelada recientemente. También es un problema novedoso que afecta a Unicode y que no hemos cubierto. Curiosamente, mi investigación ha revelado un problema casi idéntico en Spotify, en 2013.


TrueCrypt y secretos alemanes

TrueCrypt es una increíble pieza de software que literalmente cambió el mundo, dando a cada usuario de computadora una solución gratuita y disponible en origen para el cifrado de discos duros. Mientras que el código fuente del programa se hizo disponible libremente, la licencia era tan extraña y restrictiva que técnicamente no es ni Software Libre, ni Software de Código Abierto. Esto impidió que se incluyera en muchas de las principales distribuciones del sistema operativo. Aún así, TrueCrypt ha sido usado por muchos, y por muchas razones, desde lo inocente hasta lo reprobable. TrueCrypt fue tan popular, que una campaña de crowdfunding recaudó suficiente dinero para financiar una auditoría profesional del código TrueCrypt en 2013.

La historia da un giro extraño a mitad de la auditoría del código fuente. Justo después de que la auditoría inicial terminara, y justo antes de que comenzara la auditoría en profundidad de la fase II, los desarrolladores de TrueCrypt anunciaron repentinamente que estaban terminando el desarrollo. El sitio web de TrueCrypt todavía muestra el anuncio: «ADVERTENCIA: El uso de TrueCrypt no es seguro, ya que puede contener problemas de seguridad no solucionados». Muchos usuarios pensaron que el momento era extraño, y especularon que había una puerta trasera de algún tipo que sería descubierta por la auditoría. La auditoría en profundidad se terminó, y aunque se descubrieron algunos problemas menores, no se descubrió nada particularmente grave.

Uno de los usuarios más sorprendentes de TrueCrypt es el gobierno alemán. Recientemente se descubrió que la BSI, la rama de seguridad de la información del gobierno alemán, realizó una auditoría sobre TrueCrypt en 2010.

Muchos gobiernos tienen ahora leyes que establecen la libertad de información, otorgando el «derecho a saber» a sus ciudadanos. Bajo estas leyes, un ciudadano puede hacer una solicitud oficial de documentación, y si tal documentación existe, el gobierno está obligado a proporcionarla, salvo unas pocas excepciones. Un ciudadano alemán hizo una solicitud oficial de información sobre TrueCrypt, particularmente en lo que se refiere a las puertas traseras conocidas del software. Sorprendentemente, ¡esa documentación sí existía!

¿El gobierno alemán había respaldado en secreto a TrueCrypt? ¿Eran parte de una conspiración? Probablemente no. Después de algunos trámites burocráticos y discusiones legales, el texto de la auditoría fue finalmente liberado y autorizado para su publicación. En 2010 se encontraron algunos problemas que todavía estaban presentes en la fuente de TrueCrypt/Veracrypt, y que se solucionaron como resultado de la publicación de este informe.


NPM Binary Planting

El Node Package Manager, ese amado repositorio de todo lo que es Javascript, recientemente sacó una actualización y anunció un par de vulnerabilidades. Las vulnerabilidades, simplemente indicadas, se debieron a la falta de cualquier comprobación de cordura al instalar los paquetes.

En primer lugar, la ruta de instalación binaria no se limpió durante la instalación, lo que significa que un paquete podría intentar interactuar con cualquier archivo del sistema de archivos de destino. Particularmente cuando se ejecuta la CLI del NPM como root, el potencial de abuso es enorme. Mientras que este primer problema se solucionó con el lanzamiento de la versión 6.13.3, un segundo problema similar aún estaba presente en ese lanzamiento.

Las rutas de instalación se desinfectan en 6.13.3, pero el segundo problema es que un paquete puede instalar un binario sobre cualquier otro archivo en su ubicación de instalación. Un paquete puede esencialmente inyectar código en otros paquetes instalados. La solución para esto fue permitir solamente que un paquete sobreescriba los archivos binarios que son propiedad de ese paquete.

El lado positivo es que el usuario debe instalar un paquete comprometido para que le afecte. El efecto también se mitiga en gran medida al ejecutar NPM como usuario no root, lo que parece ser una buena práctica.


Google Cloud Shell

Google proporciona un montón de servicios en torno a su oferta en la nube y ofrece la muy útil interfaz Cloud Shell basada en la web para la gestión de esos servicios. Un investigador de Offensi pasó algún tiempo buscando vulnerabilidades, y se le ocurrieron 9 de ellas. El primer paso fue identificar el entorno de ejecución, que en este caso era una imagen docker. Un socket que apuntaba al sistema anfitrión se dejó expuesto, permitiendo al investigador escapar fácilmente del contenedor Docker. A partir de ahí, fue capaz de arrancar algunas herramientas de depuración, y ponerse a trabajar en la búsqueda de vulnerabilidades.

Las vulnerabilidades que se detallan son interesantes por sí mismas, pero el proceso de buscar y encontrarlas es el más interesante para mí. Google incluso patrocinó un video de YouTube que detalla la investigación, incrustado a continuación:


Probabilidades y extremos

¿Usar un iPhone para romper la seguridad de una máquina de Windows? El controlador del iPhone establece los permisos para un determinado archivo cuando se conecta un iPhone a la máquina. Ese archivo podría ser un enlace directo a un archivo de sistema importante, y el controlador del iPhone puede hacer que ese archivo arbitrario se pueda escribir sin querer.

El servidor web de Nginx está siendo retenido actualmente como rehén. Aparentemente los programadores que originalmente escribieron Nginx estaban trabajando para una compañía de tecnología en ese momento, y ahora que el proyecto Nginx ha sido adquirido, esa compañía ha reclamado la propiedad del código. Es probable que sólo sea una reclamación fraudulenta, pero las repercusiones podrían ser de gran alcance si esa reclamación se mantiene.

OpenBSD ha arreglado una simple escalada de privilegios, donde se llama a un binario setuid con un LD_LIBRARY_PATH muy extraño – un solo punto, y muchos dos puntos. Esto engaña al cargador para que cargue una biblioteca propiedad del usuario, pero con privilegios de root.

Un radio reloj Nixie adecuado para un científico loco victoriano

Un radio reloj Nixie adecuado para un científico loco victoriano

construyó un reloj de nixie con una vertiginosa variedad de características. ¿Alguna vez has deseado poder acceder a tu reloj ...
Leer Más
Tutorial de FreeCAD TechDraw Workbench

Tutorial de FreeCAD TechDraw Workbench

FreeCAD comenzó un poco inestable, pero ha ido mejorando cada vez más. Si está intentando dibujar un esquema, probablemente no ...
Leer Más
Supercon: Las cosas que trajiste, y algunas que olvidaste

Supercon: Las cosas que trajiste, y algunas que olvidaste

Parte de la diversión de Supercon es que hay tanto disponible en un solo lugar. Por el precio de la ...
Leer Más
Bucear con un suministro de aire ilimitado

Bucear con un suministro de aire ilimitado

Si quieres explorar bajo el agua, tienes algunas opciones. Puedes aguantar la respiración. Puedes intentar reciclar tu aire. Puedes llevar ...
Leer Más
Desmontaje de la pulsera PixMob LED (más emisores IR y cómo detectarlos)

Desmontaje de la pulsera PixMob LED (más emisores IR y cómo detectarlos)

Las unidades PixMob son dispositivos LED vestibles destinados a las multitudes de asistentes a eventos como conciertos. Estos dispositivos permiten ...
Leer Más
Un sistema modular para la construcción de paquetes de baterías 18650 de alto rendimiento

Un sistema modular para la construcción de paquetes de baterías 18650 de alto rendimiento

Con 18650 celdas tan baratas y abundantes como son, pensarías que construir tus propios paquetes de baterías a medida sería ...
Leer Más
Limpie su boquilla para evitar el encadenamiento

Limpie su boquilla para evitar el encadenamiento

[Prueba de Prototipo de Diseño] le gusta su impresora Ender 3. Sólo había un problema. Cuando se imprime PETG - ...
Leer Más
Slack, ahora en Windows 3.1

Slack, ahora en Windows 3.1

Slack es una herramienta de colaboración en línea o una religión, dependiendo de con quién hables. Naturalmente, es accesible a ...
Leer Más
El programa secreto del C64 se encuentra en el disco de vinilo de una banda de rock cristiano

El programa secreto del C64 se encuentra en el disco de vinilo de una banda de rock cristiano

¿Con qué frecuencia encuentras huevos de Pascua en los viejos discos de vinilo? Seguro que fue una sorpresa para [Robin ...
Leer Más
Fast Fresnel Hack Embebe las cabezas más pequeñas

Fast Fresnel Hack Embebe las cabezas más pequeñas

Aparte de asustar a los niños pequeños, no tenemos ni idea de por qué alguien necesitaría un tocado para ampliar ...
Leer Más
Linux Fu: Los trucos de WSL desdibujan la línea de Windows/Linux

Linux Fu: Los trucos de WSL desdibujan la línea de Windows/Linux

Tenemos que admitir que tenemos una extraña fascinación por WSL - el subsistema de Windows para Linux. Por un lado, ...
Leer Más
Avanzar en el estado de la tecnología de las plataformas cibernéticas

Avanzar en el estado de la tecnología de las plataformas cibernéticas

Es algo raro poder ser testigo del nacimiento y posterior evolución de una tecnología, al menos en una escala de ...
Leer Más
John McMaster explica las teclas del teléfono con ignición por criptografía y cómo reproducirlas

John McMaster explica las teclas del teléfono con ignición por criptografía y cómo reproducirlas

Cuando eres una nación estado, las comunicaciones seguras son clave para proteger tu soberanía y mantener tus mejores planes en ...
Leer Más
Chat de propulsión satelital de código abierto

Chat de propulsión satelital de código abierto

Acompáñenos el miércoles 11 de diciembre al mediodía en el Pacífico para la Charla de Propulsión Satelital de Código Abierto ...
Leer Más
Visita al ordenador de relés FACOM 128B 1958

Visita al ordenador de relés FACOM 128B 1958

Si estudia la historia de la computación es posible que haya oído hablar del FACOM 128B, un ordenador de retransmisión ...
Leer Más
Vea un tirachinas hecho en arena, de principio a fin

Vea un tirachinas hecho en arena, de principio a fin

La fundición en arena de piezas metálicas es una técnica que existe desde hace mucho tiempo, pero puede ser educativo ...
Leer Más
Ingeniería inversa de una pantalla de bus antiguo

Ingeniería inversa de una pantalla de bus antiguo

Cuando se le regaló a su makerspace un par de letreros LED Luminator del tipo que se puede ver en ...
Leer Más
El Core Memory Shield interactivo ayuda a explicar el pasado

El Core Memory Shield interactivo ayuda a explicar el pasado

[Andy Geppert] envía su increíblemente inteligente escudo de memoria del núcleo interactivo. En una gran muestra del trabajo de un ...
Leer Más
La máquina de Lego utiliza la máquina de aprendizaje para clasificarse a sí misma

La máquina de Lego utiliza la máquina de aprendizaje para clasificarse a sí misma

En nuestra opinión, la principal evidencia de una infancia bien vivida es una enorme caja de cada pieza de Lego ...
Leer Más
Detrás de las puertas de Amazon hay una biblioteca

Detrás de las puertas de Amazon hay una biblioteca

Algunas personas aman el Amazonas, mientras que otras piensan que se ha vuelto demasiado grande e invasiva. Pero tienes que ...
Leer Más
Superconferencia Hackaday: Nick Poole sobre el Boggling de la Casa de Juntas

Superconferencia Hackaday: Nick Poole sobre el Boggling de la Casa de Juntas

Ya estamos acostumbrados al papel de la placa de circuito impreso en el arte, debido a la creciente creatividad en ...
Leer Más
Un disparador mecánico para una cámara digital

Un disparador mecánico para una cámara digital

La mayoría de las cámaras digitales de hoy en día vienen con algún tipo de disparador electrónico a distancia. Existen ...
Leer Más
Si no puede comprar el teclado que desea, constrúyalo en su lugar

Si no puede comprar el teclado que desea, constrúyalo en su lugar

Lo bueno de ser fabricante es que cuando el mercado no satisface sus necesidades, usted puede salir adelante por su ...
Leer Más
Construyendo un falso ordenador portátil retro

Construyendo un falso ordenador portátil retro

El portátil moderno tiene sus orígenes a mediados y finales de la década de 1980, cuando la reducción del hardware ...
Leer Más
Ya era hora de que viéramos otro reloj con espejo infinito

Ya era hora de que viéramos otro reloj con espejo infinito

¿Ya has hecho un espejo infinito? En este momento son más o menos un proyecto de rito de paso. Pero ...
Leer Más
Una piel electrónica autocurable y estirable

Una piel electrónica autocurable y estirable

En un reporte publicado por Science Advances , un equipo de investigación de los Estados Unidos y Corea reveló una ...
Leer Más
Robot Vs. Superbug

Robot Vs. Superbug

El trabajo en una universidad o en un laboratorio de investigación sobre problemas interesantes y complicados de las ciencias tiene ...
Leer Más
Santa Claws: Afila tus habilidades por una buena causa

Santa Claws: Afila tus habilidades por una buena causa

¿Quieres hacer algo bueno en esta temporada de fiestas sin dejar tu sofá o estación de batalla? Pues acércate y ...
Leer Más
Un novato toma el desafío de SMD en Supercon

Un novato toma el desafío de SMD en Supercon

Los que visitan por primera vez Disneyworld suelen pensar ingenuamente que van a "hacer" el parque en tres días: un ...
Leer Más
Una División en Estándares de Voltaje

Una División en Estándares de Voltaje

Durante mi reciente viaje a Europa, descubrí que los convertidores no se vendían tan comúnmente como los adaptadores, y por ...
Leer Más

Deja un comentario